Спецпроекты

Безопасность Бизнес Кадры

В России пойман хакер-наемник, администрировавший огромные ботсети

В Новокузнецке задержан хакер-наемник, администрировавший для различных преступных группировок ботнеты как минимум на 50 тыс. компьютеров. Задержанный действовал по модели cybercrime-as-a-service — он предлагал свои услуги на форумах, не зная о заказчиках ничего, кроме псевдонимов.

Наемник из Новокузнецка

Сотрудники МВД задержали в городе Новокузнецке Кемеровской области кибернаемника, занимавшегося администрированием ботнетов по заказу различных преступных группировок. Речь идет о крупных ботсетях — только за последние три месяца под руководством администратора могли работать сети, насчитывающие как минимум 50 тыс. компьютеров. Соответствующее ПО было найдено на его ноутбуке, сообщает ИБ-компания Group-IB. Задержанному 25 лет, официально он безработный.

Злоумышленнику предъявлено обвинение по части 1 статьи 273 Уголовного кодекса России, предусматривающей наказание за создание, использование и распространение вредоносных компьютерных программ. Статья предлагает за это наказание в виде четырех лет ограничения свободы, либо принудительных работ, либо лишения свободы. Предполагается также выплата штрафа в размере до 200 тыс. руб. или дохода осужденного за период до 18 месяцев.

Cybercrime-as-a-service

Администратор из Новокузнецка работал по модели cybercrime-as-a-service. Он арендовал сервера, которые использовал для развертывания, тестирования и обслуживания административных панелей троянов. Заказчиков, нуждающихся в услугах по администрированию ботнетов и настройке серверов управления, он находил на форумах в Даркнете. Кроме того, задержанный занимался кражей логинов и паролей от почты и браузера, которые затем продавал на подпольных форумах.

На хакерских форумах будущий наемник начал проводить время с 15 лет, параллельно подрабатывая разработкой сайтов для компьютерных игр. Свои первые заказы он получал на создание и обслуживание административных панелей для управления вредоносным ПО, затем начал продавать такие админки в готовом виде. Настройка одной админки обходилась заказчикам от 1 тыс. до 5 тыс руб., оплата услуг наемника осуществлялась в криптовалюте.

Следствие пытается выяснить, на какие именно преступные группировки работал злоумышленник. Рассматривается также вариант, что он является участником какого-то конкретного хакерского коллектива, а выполнение заказов для других групп было для него своеобразной подработкой. По словам самого задержанного, который признал вину, его заказчики на хакерских форумах работают под псевдонимами.

kulhatzker600.jpg
В России поймали хакера, который администрировал ботнеты на 50 тыс. компьютеров

Администратор сознался, что понимал, что настроенные им серверы могут использоваться для кражи данных. Специалисты Group-IB полагают, что приобретенные у наемника данные могли использоваться хакерами для рассылки спама, заражения устройств вредоносным ПО, мошенничества и кражи денег.

По словам Сергея Лупанина, руководителя отдела расследований Group-IB, к услугам посторонних специалистов по схеме cybercrime-as-a-service прибегают как коммерческие, так и прогосударственные хакерские группы. При этом наемники действительно могут не знать, на кого работают, но у них, как правило, есть сложившийся круг работодателей.

Громкие дела

Специализацией задержанного были трояны класса RAT (Remote Access Toolkit). Такие трояны позволяют получить полный доступ к компьютеру жертвы. К ним относятся Pony, SmokeBot, BetaBot, Novobot, njRAT, Neutrino, DiamondFox, Tresure Hunter RAMScraper для POS-терминалов и др.

На след наемника удалось выйти в ходе расследования инцидента с трояном Pony Formgrabber, который имел место весной 2018 г. Данный троян используется для кражи учетных записей. С его помощью администратор из Новокузнецка сумел заразить порядка 1 тыс. ПК российских и иностранных пользователей, получив при этом доступ к их почте. Созданная таким образом ботсеть проработала с осени 2017 г. до августа 2018 г. С ее помощью хакер похищал с устройств логины, пароли и другие персональные данные.

В Group-IB отмечают, что Pony Formgrabber — это тот самый троян, который использовала группировка Toplel для атак на клиентов российских банков в 2014-2015 гг. и в 2017 г. Этот же троян, наряду с другими программами, был использован для компрометации 40 тыс. аккаунтов крупных государственных ресурсов в 30 странах мира.

В последнее время новокузнецкий наемник занялся тестированием вредоносного ПО под ОС Android, в том числе мобильного трояна LokiBot. Это связано с тем, что мобильные трояны в мире киберпреступности начали приобретать большую популярность, чем трояны для ПК.

Валерия Шмырова

Короткая ссылка